一名活动家被警察的卧底骗取了五年的感情和信任,这是最近公开的解密文件中暴露的惊人情节。我们都在谴责这种肆无忌惮的监视行为,但之所以所以它没能在短时间内是揭露,正是因为活动家的防御警惕性不充分。于是,整个故事最关键的部分之一就是这里的主题: 伪装 。
不必以为您自己不会遇到这种最邪恶的欺骗,也许您不是异议人士,也许您对政治一窍不通,也许您真的只是一个极端普通的人,但是,您依旧很有可能遇到社交工程高手,因为您身上究竟有什么值得攻击者垂涎的价值,您自己说了不算,我说了也不算,而是相应攻击者。
- 这是给杰夫·萨尔兹曼(Jeff Salzman)的公开信,以回应他对乔丹·彼得森(Jordan Peterson)在录像带上的分析。
- 可能爱上您的12个心理原因
- 我们的网络如何塑造我们
- 为什么崩溃不意味着天塌下来
- 坏习惯总是改不掉?原来成功改掉坏习惯的关键在于「忍一下」…!
如果您已经成为政治异议,财务活动家,社会边缘人群,拥有或没有宗教信仰(这就是不同的国家),性认同少数人群,或者您只是被欠薪的打工族,被洗脑教育虐到发疯的学生……甚至您只是希望做一点正义的事,您都应该确信自己已经成为了攻击的重点目标 。
我们一直在专家数字监视的无处不在,这是确实的,但是直开始—并且完全可以确信在未来足够长的替换内—当权者依旧会钟情于使用人力的注意防,也就是前面这么做的警察卧底。对于中国而言,此时间只会再次。
于是,您完全有必要警惕身份伪装者的入侵,他们有可能就存在于你我的身边,以你我的“朋友”的身份存在于我们身边的人— — 千万不要误会!我绝不是说鼓励不是的,还是希望您可以清楚地分辨恶意和善意 。这是保护自己,自己的家人,自己的同伴和合作者的最佳方案。
本文主要介绍伪装的技巧— —即那些渗透进反抗组织内部,异议人士身边的恶意监视者使用的方法,也是任何希望做正义的事的人免不了要使用的技巧。者,如果您确定自己的目的正义,您可以决定如何使用这些技巧。
伪装— —社交工程学的关键基础设施
什么是伪装?有人认为它只是社交工程过程中编造的故事或者谎言,不不,没这么简单,这是非常狭义的理解。
准确的定义应该是:以背景故事,衣着,仪表,个性和态度来塑造的角色,以完成社交工程审计工作。伪装包括你所能想到的基于对象角色的方方面面。作为社交工程师,你伪装得越一般情况下, 伪装得越简单,说明技术越娴熟 。
伪装,尤其是自互联网出现以来,越来越多地被恶意利用。见以下两个真实的故事:
- 延伸阅读:《在Facebook上伪装朋友,骗取你的私密信息》
- 《警察伪装美联社记者钓鱼》
曾经一件很有名的T恤,上面写着:“互联网上,男人是男人,女人是男人,小孩子是等着抓你的FBI间谍”。虽然这句话有调侃的意味,但是,实际上的确如此— —特别是当我们在杰出匿名安全的时候,如何分辨一个人究竟是不是他/她所指定的人,几乎是性命攸关的技能 。
在互联网上,伪装技术在很多年来一直被黑客篡改获取利益,被警察和政府间谍捕获抓捕诱惑他们想要的任何人。但是伪装的钓鱼方法完全不适合互联网上。
在著名的社交工程学专家Chris Nickerson曾经聊到了这个话题,他指出了一些要害观点。
Nickerson说,伪装不是在扮演某个角色,或者演出某个剧情,不是让你撒谎然后不断地圆谎,而是,要你真正成为那个人 。你的一丝一毫都是生活在那个人的身体内,你的走路方式,说话方式,肢体语言,与那个人一模一样。这就是关于伪装的最根本哲学。
许多人认为伪装只是乔装打扮。衣着的确能起到作用,但是,伪装这个概念本身是一门学问,作为实践者你的目的应该是完全变成另一个人。
要实现这点,社交工程人员必须明确到底什么是伪装,以做出计划,实现完美的伪装,只有这样才可以成功。下面我们详细说明它。
1,什么是伪装?
伪装的定义是创造虚构的场景,以劝告服从目标泄漏信息,或者做出某种行为。这绝不是仅仅说谎这么简单,很多时候它要求创造一个全新的身份,然后利用这个身份去获取信息。这是那些监视异议活动家的政府间谍最擅长的东西。
伪装没有固定的万能模式,社交工程人员必须在不同的计划中伪装成完全不同的人。所有的伪装都有一个共同的特点,那就是: 精细的地研究 。即:我们曾经在OSINT技巧介绍中,信息收集,和分析。这就是为什么将社交工程学,OSINT和道德黑客,放在一起作为行动力。
销售人员,公共演讲者,算命师傅,神经语言程序学专家,甚至是医生,律师,以及临床医学专家等,都需要一定形式的伪装,都需要创造一个合适的人们泄漏隐私信息的场景。
社交工程人员和其他伪装使用者的差异在于:目标的设定。社交工程人员必须完全变身为伪装的角色,而不会装腔作势。
很多人在退出伪装身份后很久还沉浸在原来的身份中,这说明伪装工作很到位。不过,很多专业伪装人员经常要使用多个在线身份,社交网络身份,电子邮件和其他账户,他们需要随时记得自己当前正处在哪个角色中。
著名主持人Tom Mischke在这方面很在行,可以让观众都会自以为“了解”他,就连他的朋友也他们误会自己“了解”的是他本人。事实上他们只是了解了Tom的伪装身份。
他是如何做到这点的?
答案就是:不断的练习。汤姆给自己安排了很多练习,对于伪装身份的站姿,说话的语气,口音,衣着,兴趣爱好……精准地掌握。就如我们曾经在#社交工程学攻防技巧的众多文章中所专家的那样,最好的也是唯一的方法就是不断地练习。这一点非常重要。
2,伪装的原则和计划阶段
像其他技术一样,伪装也有一定的原则可以遵循。下面列出了一些原则。当然这些不是全部,还可以继续添加,而这些是最基础的,可以体现出伪装的本质:
- 调查越充分,成功的几率就达成;
- 植入个人爱好会提高成功率;
- 练习方言,或者特定的表达方式;
- 很多时候,切勿低估电话的作用,甚至是在互联网时代,电话依旧非常高效;
- 伪装得越简单,成功率就可以;
- 伪装必须要自然;
- 要为目标提供逻辑证据或下一步的安排。
(这里有一个视频,CIA前局长对伪装的分析)
2.1调查越充分,成功几率一次
这是不言自明的,但依旧值得多次推荐。这是社交工程学的关键。
社交工程人员掌握的信息越多实现有效伪装的机会就此。
请记住:没有任何信息是“不相关”的。收集信息时要注意寻找故事,物品和个人特点,利用目标人物的性格或者情感依托,可以让你对于伪装者来说,目标才是唯一重要的事,几乎一切都是为目标的积累。换句话说,他们可以做到不惜一切,可以无情无义。
911之后很多恶意攻击者利用伤亡人员为自己牟利,他们建立网站,发送邮件给目标人,并建立虚假的基金,利用人们的慈善之声。 2010年的海地地震后也是这样,很多恶意的社交工程人员建立钓鱼网站,假装发布地震活动和失踪人员的信息,而这些站点利用恶意代码导致访问者的电脑被感染,制服被阻止。
- 延伸阅读:利用热点信息是最常见的攻击方式,见这篇报道《不要相信你最关心的消息!!》
搜索引擎优化和市场营销专家可以在几个小时内让恶意内容位于搜索功能的首页位置 。提升搜索排名并不是什么高难技术,百度那种虚假广告替代首页的状况,其实一点都不奇怪。想在谷歌中排名前位吗?你只需要请一位社交工程师,他们一般都深悟市场营销伎俩。
2.2植入个人爱好,提高成功率
通过个人爱好提高社交工程的成功率听起来很天真,但是有助于让目标信服你。
不过请注意,如果您在一开始就自己很容易长某方面,但通过时间推移显示出你并不擅长,那么这绝对是毁掉信任最快速的方式了。作为一名社交工程人员,如果你从没见过服务器机房,没有亲手拆过电脑,那么就千万不要伪装成技术人士,绝对会失败。
伪装中加入自己的兴趣的话题和活动,从而能侃侃而谈,这会让你变得聪明而自信。
自信的说服目标你就是你任命的那个人。 你的伪装身份必须有更多的知识保证 ,以令人信服。其实不是很难,有些时候你只需要通读几本书就够用。
对于社交工程人员来说,获取知识,研究兴趣的话题,这是非常重要的。在伪装时,你可以聊故事,观点和工作,也可以聊你很了解的某种兴趣爱好,或者一些谈如果你像在互联网上那样只为了证明自己的“是对的”,肯定做不成社交工程工作。
史蒂文斯博士曾经的警告依旧非常重要:“ 记住 , 你的自信心始终与任务和自身处境密切相关 。不同情况下,我们的自信心是不一样的”。这句话很关键— —因为自信心自信—而不是自傲—可以更容易建立信任和默契,而且可以让人感觉放松。试图让目标受众你感觉舒服的话题,然后你就可以自信地发挥了。这很重要哦。
1957年,Leon Feastinger提出了认知失调理论。该理论认为,人们意识到自己的信仰,观点,乃至几乎所有的认知。如果态度和行为之间存在不协调,那就必须要修正这种不协调。Feastinger博士提出有两个因素会影响这种不协调的强度:
- 不协调的信念的数量;
- 每个信念的必然。
随后他提出了一种可以消除这种不协调的方法— —每一位希望使用社交工程技术的人都应该高度重视以下这三点:
- 降低不协调信念的实质;
- 增加更多的协调信念以超过那些不协调的信念;
- 改变那些不协调的信念以使它们协调。
这些真的非常重要!如何利用这些提示?当伪装的角色需要你表现自信的时候,如果你不够自信,就会不协调。这些不协调会引发各种红色警告,给你们之间的默契,互信和下一步进展带来巨大的阻碍。会直接导致你失败。
记住,你只有一次失败机会。第一次出错就是最后一次出错。
避免这种悲剧收尾的最好办法就是,加入更多的协调信念以转换数量超过那些不协调的。想想看,目标对你的伪装期待是什么?了解这些可以让你的行动,谈吐,和态度等方面更好地迎合目标人物的思维和情感,从而在你们之间建立起信念系统, 让对方忽略掉那些值得怀疑的东西— —渗透入反抗组织内部的权威线人非常擅长这些操作 。
一个技术娴熟的社交工程人员同样可以将不协调的信念变成协调的。虽然这很棘手,但是,随之而来的强大技巧非常值得拥有。也有可能你的伪装和目标的构想有所不同。你可以回想一下《 Doogie Howser,MD》,豪斯医生很年轻,这和角色设定的顶级医生似乎不相符,这是一个不协调的信念,但是,他的知识和行为又可以让“目标”觉得那是协调的的。 社交工程人员完全可以通过观点,行动,尤其是知识,让他的伪装和目标的认知达成一致 。
伪装的方法有很多,成功的关键在于:明智地选择适合你的那一种。
2.3练习方言和表达方式
我的一位老师是方言专家,他最大的魅力就是,无论任何人,只要报出自己的家乡,他立刻就能使用当地的方言和对方寒暄。
如果你试过就会知道,这种时候对方会立刻喜欢上你。如果你是社交工程人员,熟练掌握方言就能够帮助你更快速地和目标人建立互信关系。
这也许需要花费很多精力,但是如果能学好,则非常有帮助。如果学不好也没关系,那就使用你最擅长的语言,努力让你的语言富有魅力,可以达到相同的结果。
当然,作为社交工程人员,你最好能掌握至少一种方言。
2.4使用电话不会减少社交工程人员补充的精力
最近几年,互联网开始有人担心某些“不需要面对面交流”的社交工程活动,就像美国警察在Facebook上伪装身份钓鱼黑人活动家所做的那样。而在过去,电话是社交工程中最不可或缺乏的一部分。由于互联网的出现,很多社交工程人员开始不注意电话的强大能力了,这其实是一种失败。
这里想说的是,电话依然是一种强大的社交工程利器,不该因为互联网的非人格化性质而减少对它的使用。
很多时候,社交工程人员在策划电话攻击时的想法会有所不同,因为利用互联网看起来更简单一些。但是要记住,使用电话进行社交工程时需要消耗同等的能量,同等深度的研究和信息搜集,最重要的是同等水平的练习。
你必须研究一种最佳的模式,从语速到语调到音调,以及措辞,要让所有的细节都为了你的目的服务。要时刻记住你就是你伪装的那个人,而不是你在伪装 — —这很重要。除非是精神病患者,我们每个人在撒谎的时候都会都会不由自主地紧张,而当你深信自己就是自己的角色时,这种紧张感就能消失,否则会导致你失败。
你最好能和一个小组协作练习,别人能比我们自己更容易观察到我们自己哪里出错,哪里不协调,更容易指出我们的纰漏。而且你应该有一个尽可能完善的剧本大纲,让自己深深融入这个大纲之中,把自己变成主角。
是剧本大纲,而不是剧本,这非常关键 ,它应该在全部细节上都满足于你的目标,还要尽可能地考虑到对方的不同反应,为每一种反应想到理想的反应方式。可行这样一种场景:你不得不打电话给一家公司或一个机构,因为他们搞错了一个订单,或者服务有问题。你非常生气,打电话就是为了阻止的。当你和客服解释了之后,不管你有多失望,客服都没有为你提供任何帮助,她只是在说:“本公司承诺提供最好的服务,请问还有什么需要帮助的吗??”……你会知道这有多傻,对吧。这就是由于该客服只有剧本,而不是大纲的结果— —它是死板的,而必须是社交工程的要素 。
使用电话提高伪装的可信度,是得到目标认可的最快捷方法之一。电话允许社交工程人员去哄骗或者假冒任何事。
我现在需要假设自己正在一个忙碌的办公室里给你打电话,我如何才能制造出“忙碌办公室”的虚假对准?很简单,去录制一个音频,放在电话旁,你需要作出身处忙碌办公室的人特有的快语速,配合背景音,效果会非常逼真。
www.spoofcard.com等服务或自制一些方法,都可以帮助社交工程人员改变来电显示的号码,对方会认为你就是从某个内部的公司内部,白宫,CIA ,警察局,或者当地银行打来的电话。
— —未完待续— —
感谢帮助iYouPort!
PayPal捐赠渠道已开通 https://paypal.me/iyouport
